NAPLISTENER Skadlig programvara länkad till APT Känd som REF2924

Gruppen känd som REF2924 har nyligen upptäckts med en ny typ av skadlig programvara, som har fått namnet NAPLISTENER av Elastic Security Labs.

Skadlig programvara är en HTTP-lyssnare skapad med C# och är utformad för att undvika upptäcktsåtgärder som är beroende av nätverksanalys. REF2924 har kopplats till flera attacker i Syd- och Sydostasien, inklusive mot en enhet i Afghanistan och utrikeskontoret för en ASEAN-medlem 2022. Denna grupp verkar ha likheter med en annan hackergrupp som heter ChamelGang, som dokumenterades av Positive Technologies i oktober 2021. REF2924:s attacker har utnyttjat internetexponerade Microsoft Exchange-servrar, med hjälp av bakdörrar som DOORME, SIESTAGRAPH och ShadowPad.

DOORME är en IIS-bakdörrsmodul som ger fjärråtkomst till ett omtvistat nätverk och möjliggör exekvering av ytterligare skadlig programvara och verktyg. SIESTAGRAPH använder Microsofts Graph API för kommando-och-kontroll, med möjlighet att köra godtyckliga kommandon och ladda upp och ladda ner filer. ShadowPad är en privat såld modulär bakdörr som möjliggör beständig åtkomst till komprometterade datorer och möjliggör exekvering av skalkommandon och nyttolaster.

Det är intressant att notera att användningen av ShadowPad antyder en potentiell länk till kinesiska hackergrupper, som har använt denna skadliga programvara i olika kampanjer genom åren. NAPLISTENER har nu lagts till REF2924:s växande arsenal av skadlig programvara, och den klär ut sig som en legitim tjänst i ett försök att undvika upptäckt och etablera beständig åtkomst.

Vad är APT eller Advanced Persistent Threat Actors?

APT, eller Advanced Persistent Threat-aktörer, är mycket skickliga och välfinansierade grupper av angripare som använder sofistikerade metoder för att få obehörig åtkomst till datornätverk och system under längre tidsperioder. Till skillnad från traditionella hackare som kan utföra attacker för ekonomisk vinning eller ryktbarhet, har APT-aktörer ofta specifika politiska eller strategiska mål, som att stjäla känslig data, immateriell egendom eller konfidentiell information.

APT:er använder vanligtvis en rad olika tekniker för att äventyra system, inklusive social ingenjörskonst, spjutfiske och skadlig programvara. När de väl får tillgång använder de en mängd olika taktiker för att behålla fotfästet på nätverket, som att installera bakdörrar, skapa dolda användarkonton eller utnyttja sårbarheter. De kan också använda en mängd avancerade tekniker för att undvika upptäckt, såsom fillös skadlig programvara, kryptering eller kommando- och kontrollinfrastruktur (C2) som är svår att spåra.

APT:er förknippas ofta med nationalstatliga aktörer, även om de också kan användas av kriminella organisationer eller andra grupper med betydande resurser och motiv. De kan utgöra ett betydande hot mot organisationer, eftersom de kan förbli oupptäckta under långa perioder, vilket gör att de kan stjäla värdefull information eller orsaka betydande skada på system. Som sådan är det viktigt för organisationer att vara medvetna om hotet från APT och att vidta åtgärder för att skydda sig mot dessa typer av attacker.